■マイクロソフトPowerPointのぜい弱性 (2009/05/13)
マイクロソフトのPowerPoint向けに,任意のコード実行を伴う14個のぜい弱性を解決するセキュリティ修正プログラムがリリースされました。14個のうち,メモリー破損のぜい弱性(CVE-2009-0556)は,2009年4月3日にマイクロソフトセキュリティアドバイザリ(969136)で報告されたぜい弱性です。このぜい弱性については,既に侵害活動(トレンドマイクロ:TROJ_PPDROP.AB,シマンテック:Trojan.PPDropper.H)も報告されていますので,修正プログラムの適用に合わせて,ウイルス定義ファイルの更新を確認してください。
・MS09-017: Microsoft Office PowerPoint のぜい弱性
・JVNTR-2009-09: Microsoft Office PowerPoint のぜい弱性
・新しいぜい弱性を突く「PowerPointウイルス」出現,国内でも報告例
■Adobe ReaderとAcrobatにバッファオーバーフローのぜい弱性 (2009/05/12)
アドビ システムズのセキュリティ情報APSA09-02で報告されたPortable Document Format(PDF)ドキュメントを閲覧および編集するためのソフトウエアである,Adobe ReaderとAcrobatのぜい弱性(CVE-2009-1492,CVE-2009-1493)を解決するアップデート版がリリースされました。このぜい弱性を攻撃する実証可能なコードが存在していることと,シマンテックやエフセキュアが調査に基づいてPDFを対象とした侵害活動が活発化すると報告していることから,Adobe ReaderとAcrobatを利用しているユーザーは,9.1.1,8.1.5,7.1.2へのアップデートを実施してください。なお,Macの7.Xのアップデート版は,6月中にリリースされる予定です。
・APSB09-06: Security Updates available for Adobe Reader and Acrobat
・2009年は「PDFウイルス」を使う標的型攻撃が最多,およそ半数に
・「2009年はPDFとWebブラウザのプラグインが狙われる」---シマンテックが分析
■アップルのセキュリティアップデート2009-002 (2009/05/12)
Mac OS X v10.4.11,Mac OS X v10.5~v10.5.6のセキュリティ・アップデート版がリリースされました。影響を受けるパーツは,Apache,ATS,BIND,CFNetwork,CoreGraphics,Cscope,CUPS,Disk Images,enscript,Flash Player plug-in,Help Viewer,iChat,International Components for Unicode,IPSec,Kerberos,Kernel,Launch Services,libxml,Net-SNMP,Network Time,Networking,OpenSSL,PHP,QuickDraw Manager,ruby,Safari,Spotlight,system_cmds,telnet,WebKit,X11です。なお,BINDはBIND 9.6.0-P1で対応したOpenSSLの関数戻り値のチェック不備(CVE-2009-0025)対策を反映したものです。また,セキュリティアップデート2009-002と併せて,Safari 3.2.3において任意のコード実行を伴うぜい弱性について,その対策版がリリースされています。
・About the security content of Security Update 2009-002 / Mac OS X v10.5.7
・Safari 3.2.3 のセキュリティコンテンツについて
■Cyber Security Bulletin SB09-131 (2009/05/04)
US-CERTでは,米NIST(アメリカ国立標準技術研究所,National Institute of Standards and Technology)が管理するNVD(National Vulnerability Database)に登録した情報を,毎週Security Bulletinsとして報告しています。このCyber Security Bulletinの良いところは,CVSS(共通ぜい弱性評価システム,Common Vulnerability Scoring System)の基本評価基準値を使って,深刻度を3段階に分類して報告してくれていることと,CVE(共通ぜい弱性識別子,Common Vulnerabilities and Exposures)に登録された時点(除く,事前に割当てられたCVE番号)で報告していることです。注意しなければならないのは,NVDに登録した日付で管理されているため,1年前に発行されたぜい弱性対策情報が掲載されている場合もあります。最近新たに報告されたぜい弱性か否かについては,Source & Patch Infoに併記されているCVE番号の年を目安にすると良いでしょう。
・SB09-131: Vulnerability Summary for the Week of May 4, 2009
ここでは,5月4日の週に報告されたぜい弱性情報Vulnerability Summary for the Week of May 4, 2009の中から気になったぜい弱性情報を紹介します。
◇GoogleウェブブラウザChromeにバッファオーバーフローのぜい弱性 (2009-05-05)
Googleが開発したWebブラウザChromeに存在するぜい弱性です。Chromeは2008年9月に公開され,12月に正式版がリリースされました。このGoogle Chromeのバージョン1.0.154.64ならびに,それ以前にバッファ・オーバーフローのぜい弱性(CVE-2009-1441)が存在します。レンダリング処理に存在するぜい弱性で,悪用された場合にはブラウザの異常終了や任意のコード実行を伴ってしまいます。
・Stable Update: Security Fix
・Google,オープンソースのWebブラウザ「Google Chrome」を公開へ
・Browser Market Share
◇Linksysワイヤレス型ネットワークカメラに複数のぜい弱性 (2009-05-06)
シスコのコンシューマ向けビジネスグループが販売しているLinksysのワイヤレス型ネットワーク・カメラWVC54GCAに,ディレクトリ・トラバーサル,WEP/WPA/WPA2の暗号鍵がHTMLファイルにクリア・テキストで格納されているという報告です。リモートの攻撃者はこの問題を悪用し,機密情報を集め得る恐れがあります。認証情報などの機密情報がハードコードされているというぜい弱性は,国内でも海外でも報告されています。アプリケーションの開発の際には,回避すべきぜい弱性の一つとして確認しておきましょう。
・Wireless-G Internet Home Monitoring Camera
・Linksys WVC54GCA Security Bypass and Information Disclosure
・認証情報のハードコードに関するぜい弱性対策情報 by MyJVN (rdf フォーマット)
・US-CERT Vulnerability Notes for "hard-coded"
Hitachi Incident Response Team
チーフコーディネーションデザイナ
| 『HIRT(Hitachi Incident Response Team)とは』 |
HIRTは,日立グループのCSIRT連絡窓口であり,ぜい弱性対策,インシデント対応に関して,日立グループ内外との調整を行う専門チームです。ぜい弱性対策とはセキュリティに関するぜい弱性を除去するための活動,インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは,日立の製品やサービスのセキュリティ向上に関する活動に力を入れており,製品のぜい弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。
